Más de la mitad ha pasado una década desde que los famosos hackers rusos conocidos como Sandworm atacaron una estación de transmisión eléctrica al norte de Kiev una semana antes de la Navidad de 2016, utilizando un código único y automatizado para interactuar directamente con los interruptores de la estación y apagar las luces de una fracción de la capital de Ucrania. Ese espécimen sin precedentes de malware para sistemas de control industrial no se ha vuelto a ver… hasta ahora: En medio de la brutal invasión rusa de Ucrania, Sandworm parece estar sacando sus viejos trucos.
El martes, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) y la empresa eslovaca de ciberseguridad ESET emitieron avisos de que el grupo de hackers Sandworm, confirmado como la Unidad 74455 de la agencia de inteligencia militar rusa GRU, había atacado subestaciones eléctricas de alto voltaje en Ucrania utilizando una variación de un malware conocido como Industroyer o Crash Override. El nuevo malware, denominado Industroyer2, puede interactuar directamente con los equipos de las empresas eléctricas para enviar órdenes a los dispositivos de las subestaciones que controlan el flujo de energía, al igual que la muestra anterior. Esto indica que el equipo de ciberataque más agresivo de Rusia intentó un tercer apagón en Ucrania, años después de sus históricos ciberataques a la red eléctrica ucraniana en 2015 y 2016, que siguen siendo los únicos apagones confirmados que se sabe que fueron causados por hackers.
ESET y CERT-UA dicen que el malware fue plantado en los sistemas objetivo dentro de una empresa regional de energía ucraniana el viernes. CERT-UA dice que el ataque fue detectado con éxito en el progreso y se detuvo antes de que cualquier apagón real pudiera ser desencadenado. Sin embargo, la semana pasada el CERT-UA emitió un aviso privado, del que informó por primera vez MIT Technology Review ha declarado hoy que se ha cortado temporalmente la energía en nueve subestaciones eléctricas.
Tanto CERT-UA como ESET declinaron nombrar la empresa de servicios públicos afectada. Pero más de 2 millones de personas viven en la zona a la que da servicio, según Farid Safarov, viceministro de energía de Ucrania.
«El intento de hackeo no afectó al suministro de electricidad en la compañía eléctrica. Se detectó y mitigó rápidamente», dice Viktor Zhora, un alto funcionario de la agencia de ciberseguridad de Ucrania, conocida como Servicios Estatales de Comunicación Especial y Protección de la Información (SSSCIP). «Pero la interrupción prevista fue enorme». Preguntado por el informe anterior que parecía describir un ataque que tuvo éxito al menos parcialmente, Zhora lo describió como un «informe preliminar» y se mantuvo en sus declaraciones públicas más recientes y en las del CERT-UA.
Según CERT-UA, los piratas informáticos penetraron en la compañía eléctrica objetivo en febrero, o posiblemente antes -todavía no está claro cómo-, pero sólo intentaron desplegar la nueva versión de Industroyer el viernes. Los piratas informáticos también desplegaron múltiples formas de malware «wiper» diseñadas para destruir los datos de los ordenadores de la empresa, incluido el software wiper que se dirige a los sistemas basados en Linux y Solaris, así como los wipers más comunes de Windows, y también un fragmento de código conocido como CaddyWiper que se había encontrado dentro de los bancos ucranianos en las últimas semanas. El CERT-UA afirmó el martes que también fue capaz de atrapar este malware wiper antes de que pudiera ser utilizado. «Tuvimos mucha suerte de poder responder a tiempo a este ciberataque», dijo Zhora a los periodistas en una rueda de prensa el martes.
.
0 comentarios